Escolar Documentos
Profissional Documentos
Cultura Documentos
Nome/RazãodeSocial
Geração e
Transmissão de Energia Elétrica do
37 7/23/20 15:50:27 7/23/20 16:03:20 Sul do Brasil - CGT Eletrosul
56 7/24/20 16:10:42 7/24/20 16:41:05 Furnas Centrais Elétricas SA
38 7/23/20 21:19:03 7/23/20 21:46:03 Light Serviços de Eletricidade S.A
42 7/24/20 10:06:09 7/24/20 10:16:16 ENGIE BRASIL ENERGIA S.A.
Centrais Elétricas Brasileiras S/A -
63 7/24/20 20:41:33 7/24/20 20:45:18 ELETROBRAS
61 7/24/20 17:24:52 7/24/20 18:04:08 Alupar Investimento S A
24 6/1/20 9:06:36 6/1/20 9:51:35 Interligação Elétrica do Madeira SA
36 7/22/20 9:26:16 7/23/20 9:38:34 01.248.530/0001-16
Abraceel - Associação Brasileira dos
45 7/24/20 11:02:18 7/24/20 11:05:28 Comercializadores de Energia
59 7/24/20 16:30:47 7/24/20 17:53:05 Quantum Participações S.A.
Companhia Hidro Elétrica do São
58 7/24/20 16:33:07 7/24/20 17:50:34 Francisco - Chesf
Centrais Eletricas Brasileiras S/A -
62 7/24/20 20:15:58 7/24/20 20:41:30 COMPANHIA
Eletrobras DE TRANSMISSÃO DE
ENERGIA ELÉTRICA PAULISTA -
46 7/24/20 11:06:34 7/24/20 11:14:20 CTEEP
Companhia Energética de Minas
57 7/24/20 17:11:28 7/24/20 17:25:22 Gerais
41 7/24/20 8:28:24 7/24/20 9:47:25 Energisa S.A.
54 7/24/20 15:34:00 7/24/20 15:51:04 Neoenergia S.A.
60 7/24/20 17:26:48 7/24/20 17:53:30 Grupo CPFL Energia
64 7/24/20 20:48:41 7/24/20 20:51:09 EDP Energias do Brasil
55 7/24/20 16:21:40 7/24/20 16:28:31 ENEL Brasil
50 7/24/20 13:54:31 7/24/20 14:10:27 Argo Energia
21 5/28/20 10:35:51 5/28/20 11:13:00 ENEVA S.A.
19 5/27/20 14:26:10 5/27/20 15:20:33 Brookfield Energia Renovável
31 7/8/20 10:50:40 7/8/20 11:17:24 Amazonas Energia S.A.
33 7/16/20 15:49:50 7/16/20 15:56:00 Fernando Covatti/CEEE-GT
15 5/25/20 21:58:24 5/25/20 22:48:01 Alexsander Borri
16 5/26/20 9:51:03 5/26/20 10:30:47 Rafael Araujo
TI Safe / TI Safe Segurança
17 5/26/20 14:24:06 5/26/20 14:42:56 Cibernética Industrial LTDA
18 5/27/20 15:17:05 5/27/20 15:18:13 Sup
FRANCISCO IVAN RODRIGUES DE
25 5/28/20 11:18:25 6/2/20 15:08:02 ANDRADE
26 6/2/20 22:31:41 6/2/20 22:37:55 Geraldo Fonseca
Rafael Cesar Medeiros Soares /
27 6/8/20 13:02:48 6/8/20 14:34:52 Schneider Electric Brasil
28 6/8/20 13:01:44 6/8/20 14:35:11 Schneider Electric Brasil
29 6/17/20 12:35:43 6/17/20 12:57:27 Dr. Ricardo Siqueira de Carvalho
32 7/13/20 11:34:25 7/13/20 11:35:06 Wagner Hiroshi
State Grid BrazilUeno / Senai
Holding
Instituto Senai de Tecnologia da
34 7/20/20 10:26:12 7/20/20 11:08:16 Informação e Comunicação
ABRATE - Associação Brasileira da
Empresas de Transmissão de
35 7/22/20 11:10:49 7/22/20 11:32:25 COMITÊ NACIONAL BRASILEIRO DE
Energia Elétrica
PRODUÇÃO E TRANSMISSÃO DE
39 7/23/20 21:47:57 7/23/20 21:55:40 ENERGIA ELÉTRICA – CIGRÉ-BRASIL
Siemens Infraestrutura e Indústria
40 7/23/20 21:59:24 7/23/20 22:11:09 Ltda
ABDIB - Associação
Instituto Brasileira
Brasileiro de Defesa dado
43 7/24/20 10:18:19 7/24/20 10:24:55 Infraestrutura
Consumidor - Idece Indústrias de Base-
Comitê de Transmissão de Energia
44 7/24/20 8:59:13 7/24/20 11:04:19 Elétrica
47 7/24/20 10:59:19 7/24/20 11:14:38 Norsk Hydro
Operador Nacional do Sistema
48 7/24/20 10:34:33 7/24/20 11:15:51 Elétrico - ONS
ASSOCIAÇÃO UTC AMERICA LATINA
49 7/24/20 11:24:04 7/24/20 12:32:10 Associação
- UTCAL Brasileira das Empresas
Geradoras de Energia Elétrica -
51 7/24/20 14:41:42 7/24/20 15:03:54 ABRAGE
52 7/24/20 9:36:10 7/24/20 15:12:34 Associação Brasileira
Instituto Acende Brasilde
Distribuidores de Energia Elétrica -
53 7/24/20 15:24:20 7/24/20 15:33:44 ABRADEE
Qual a sua relação com a
segurança cibernética no setor
elétrico?
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Funcionário CPFL
Fornecedor
Consumidorde Segurança
Cibernética Industrial para
empresas de Energia
Agente prestador de serviço de
energia elétrica.
Gestor de TIC e Automação
com foco em Segurança
Operador
Fornecedor de tecnologia.
Fornecedor de tecnologia.
Fornecedor de tecnologia.
Transmissora
Fornecedor de tecnologia.
Associação Brasileira da
Empresas de Transmissão de
Energia Elétrica - ABRATE
No Brasil, a Hydro é
Associação
consumidora Profissional
industrial e
comercializadora. Na Noruega,
Fornecedor de tecnologia.
detemos e operamos
capacidade
Usuário de geração, somos
consumidores e
comercializadores.
Associação Além disso,
prestamos alguns serviços no
mercado elétrico.
Operador
Associação de empresas do
setor elétrico
Associação
Consultoria e Centro de
pesquisas
Associação setorial
•Firewall de borda na conexão com a rede corporativa ou externa controlando serviços e direcionalidade
-•Todos Proibição de acesso
os ativos possuemde equipamentos
senhas de serviços operativos à Internet
-•Equipamentos
Restrição ao uso dede Notebooks
trabalho de Configuração
portáteis (notebooks)esob Manutenção
gestão da de TI –Fornecedores
Atualizações e politicas de segurança cibernética
-•Ambiente Inventáriocomputacional
de Ativos dos sistemas de supervisão e controle baseados em Linux
-•Constituição
Gerência de Performance
de Comitê deeSegurança Falhas; Cibernética da Rede Industrial com representantes das áreas responsáveis pela infr
-– Gerenciamento
TI e Telecomunicações. Alémdos
centralizado equipamentos
disso, representantes de segurança
dos usuários: Projeto, Operação e Manutenção. Comitê se reporta à
-Quais Controle de Patches e dos sistemas operacionais
as políticas e as práticas de segurança cibernética e utilização
a empresade Antivírus
adota no dedicado
Brasil? Qualao ambiente
legislaçãodenacional
automação. e quais norma
-Normas Utilização de Jump Server
de referência:
-Framework
Utilização de para Nuvem
redesprivada
operativas de análise de ameaças
da Associação “zero-day”
Brasileira das Empresas de Transmissão de Energia Elétrica (Abrate).
- Monitoramento dos logs dos equipamentos de segurança
A LIGHT adotade
- Participação uma política
comitês de segurança
e grupos da informação
de segurança da informaçãobaseadacom nasoutras
normas NBR ISO/IEC
empresas 27001
do ramo taise como
NBR ISO/IEC
COTISE,27002ABRATE, par
segurança cibernética baseadas nos padrões NERC-CIP e no framework de segurança cibernética do NIST - National Institu
Inicialmente,
geração, transmissão reforçamos que o segmento de comercialização entende como muito pertinente a discussão sobre a seguran
e distribuição.
característica,
Adotamos Normas os comercializadores
ABNT-ISO/IEC 27001, de energia – classe ISO
ABNT-ISO/IEC que 27002,
por vezes transaciona
ISA/IEC o maior volume de energia
62443, ANSI/ISA–99.02.01, documentos no mercado
da série
prioridades,
Utilizamos, também, parabenizando Políticaode regulador
Segurança peladapreocupação e disposição em discutir tema tão relevante.
Informação internas.
Nessa linha, entendemos que o segmento de comercialização de energia não se enquadra como uma “infraestrutura crític
A resposta foi
interrupção ouencaminhada
destruição não naprovocaria
primeira contribuição
danos físicos, devido
comoaimpactos
limite de ambientais,
caracteres. econômicos ou à segurança do estado
As políticasda
segurança deinformação,
segurança cibernética
com a adoção são deadotadas
práticascom a finalidade
internas adequadas de atender
às suasas melhores
próprias práticas de sendo
necessidades, segurança essa dos
questãprin
para
A as
empresa equipes
Comercializadoras empresa técnicas
uma
cuja e usuários
Política
estrutura de quanto
Segurança ao uso
da dos recursos
Informação computacionais
baseada nas de
melhores forma segura.
prática do Há
mercadodiversas
usando políticas
como e no
ba
Atualmente
físico
Em e lógico,
relação àstemos
backupuma
práticas política
corporativo,
de segurançadefazmonitoração
parte de bancos,
segurança
cibernética cibernética
do
porbaseado
ambiente
quanto à
exemplo,em
rede e
tendem
boas
gerenciamento
operativa, o
a seguir aEstamos
práticas.
Grupo de
regulamentação
incidentes.
Energisa em processo
segue
específica
políticas deboas
e
para insti
atualização
práticas
geração
procedimento e distribuição,
de redeCSET, onde
do ON a S,
comercializadora
também no NERC poderia ser
framework uma porta
dapela
Abrate, o qualde entrada
consideramos para ataques
muito cibernéticos, há a adoção
As
com práticas
vistas ademitigar
internacionais segurança
NISTIR, riscoscibernética
em NIST, atualmente
ISA62443,
eventuais infraestruturasadotadas
CIP e críticas.
ISO/IEC Chesf
27001 são:
para um bom controle
criação de seu de completo
framework, e abrangente.
acesso, monitoração
composto do am
essencia
segurança
como:
Assim, claras para
dada a variedade todos os empregados,
de empresas dentro auditoria
do segmento nos processos de
de comercialização, segurança, atualização de patches de segurança portp
Como
De formaempresa
mais integradora,
especifica a são de
área seguidas
Tecnologiaas normas indicadas
Operacional - TO pelos
usa clientes.
como Asque
referência
conta com empresas
especificações
o framework técnicas
do NIST,
de pequeno
citam paracom frequên
avaliação
1.
controle Monitoração,
externo gerenciamento
internacional, de
etc., riscos
cada e vulnerabilidades;
As
escritos
2. empresas Eletrobras
internamente,
Políticas de controle adotam,
nem de adota
acesso em níveisuma
normas
adota práticas
e abrangências
internacionais
(interno/externo); por
internas
distintos,
padrão.
de segurança
algumas
A área de
individuais, sendo
recomendações
Tecnologia dada Informação
fundamental
NERC (North - TI American
preser
segue algun Ele
incentivar
críticas. a
Seguem,constante
também, inovação
de tecnológica
forma e
assistemática, não prejudicar
orientações a competição.
do framework do NIST (National Institute of Standards and
práticas no que diz respeito
3. Sistemas de informação e proteção; à segurança cibernética. Cobit, ITIL, ISO 27.001 e NIST são algumas das boas práticas que utiliz
americano.
A
4. empresa Suporte segue os Decretos
e resposta nº 9.637/2018 e nº 10.222/2020 e está se adequando à Lei Geral de Proteção de Dados (Lei
a incidentes;
O
As
Além Grupo
empresas
de CPFL
seguir
5. Sistema de backup; Energia
Eletrobras,
a adota
legislação, aas
suportadasmelhores
Chesf, comonormas
pelos decretos
empresa e práticas
estatal, do
9.367/2018 mercado
e 10.222/2020,
é auditada baseadas
pelos e sustentadas
estão
órgãos desecontrole
adequando emUnião,
da àmetodologias
lei 13.709/2018
como TCU de efram
(Lei
CG
ISO-27001,
normativos
segurança
6. Política ISO-27002,
internos
cibernética
de de do
identificaçãoalém dos
segurança
ambiente
e 20 Controles
cibernética.
computacional,
autenticação; Críticos
Seguem,em de umSegurança
também,
primeiro em elaborados
níveis
momento e pelo Center
abrangências
como for Internet
diferentes,
recomendações, easSecurity –
orientações
mais CIS,
recentement com
das n
A
A
também
Além CEMIG
arquiteturaadota
dispõe
disso, dauma
adotam rede
de umpolítica
operativa
Plano
práticas de
de segurança
adotada
Continuidade
desenvolvidas da
pela informação
ISA
de
internamenteCTEEP foi
Negócio baseada
e
no definida
de uma
âmbito nas normas
seguindo
estrutura
das suas NBR ISO/IEC
alguns
robusta
Diretorias critérios
dede 27001
da Norma
Governança
Operação, e NBR
de ISO/IEC
ISO 27001,
Tecnologia
forma a 27002
que
da
mitigar pa
sein
Inf
7.
segurança Inventário deassim
cibernética ativos da redenos operativa;
arquitetura
Information
As políticas
áreas de para
and Related
definidas
negócio doebaseadas
estabelecermos
já Technology
consolidadas
grupo Neoenergia
padrões
os adotam
– COBIT,
foram NERC-CIP
requisitos
focada
implantadas nae aplicação
políticas
noe framework
necessários estãopara
próprias
depraticadas
dedediversas
sendo segurança
garantir práticasporcibernética
a segurança de controle
meio de dodaNIST
cibernética do - National
emambiente
informação.
procedimentos Institu
opera
operacion
8.
geração,
Atualmente,Topologia de
transmissão
estamos redese segmentadas;
distribuição,
desenvolvendo além
as de criptografar
políticas e normas toda
internas desegurança
trocaorientadas
informação pela
cibernética
de medição
CIP/NERC,
baseadas
a entre
fim deCEMIG, diretrizes
assegurar CCEE e globa
todas clien
as
Iberdrola
9.
O
Como Sistemas
Grupo (suadesenvolveu
Enel
exemplo acionista
de deprevenção
práticas ede
de intrusão;
mantém
segurança um framework
cibernética, global
a CEMIG de cibersegurança
possui um Centro baseado
de em
Operação normas
de reconhecidas
Segurança (SOC) internaci
que gere
oajoritária)
No framework
âmbito da
tem utilizado
segurança
atuação. como da
Cada referência
informação,
área de por
negócioempresas
ressalta-se que
participa do osetor
Data
dedas elétrico
umredesCenter
Comitê e
do contemplando
Grupo CPFL
de Cibersegurança os itens
Energia
Global exigidos
possui a pela proposta
certificação
constituído ABNT
poraomembros do IS
10.
and
ocorrênciasSistema
Technology).ede monitoramento
Esse
correlação framework deestabelece
deorganização
eventos, software
pratica amalicioso;
osegregação
modelo operacional, a governança
corporativa e os processos
e operativa, sendo relacionados
o barramento gerencia
de do
proce
informação
está
11. presente
Avaliação e indica
em que
grupos de
de segurança a de segurança
trabalhos
e autorização. adota
iniciados um modelo
nestes por adequado
comitês. de estabelecimento,
As diretrizes e políticas implementação
globais são baseadas de e operação
emtecnologia
padrões e Sis
processos
demais. do framework são suportados políticas e diretrizes que cobrem as necessidades
cibernética
de sistemas adotados
e aplicações.internacionalmente, inclusive nos países onde a Iberdrola tem atuação.
Ademais,políticas o Sistema
e políticas
controle Avançado de Gestão da Distribuição (Advanced Distribution Management Systempelo – ADMS)grupodas distribu
As principais
segurança danegócios
informação, ede Segurança
diretrizes
baseando-sede da rede
segurança Operativa
nas normas cibernéticaencontram-se
enormas
padrões adotadas
de proteção
em processo
pelo grupo de documentação
envolvem:
de infraestrutura crítica da North
ENERGISA
American Elec
No Brasil,
•recomendadas os
Definição dos também
processos estão
do Schneider submetidos
frameworkElectric. às
de segurança e políticas
cibernética, da
papeisárea corporativa
e responsabilidades de Segurança
do modelo Digital da
funcionalNeoeneecogo
Cibersegurança. pelo fornecedor
A área de eSegurança Digital No contexto do ADMS, o Grupo CPFL Energia
também monitora o cumprimento da legislação brasileira pelos negócios, incl dispõe de um contrato
•realização
Política de Segurança Classificação da Informação
de avaliações técnicas e de testes de penetração, comumente conhecidos como pentests, baseando-se em uma
•testes Políticas
em quedeo Governança
invasor dispõe dede Privacidade
acesso prévio e Proteçãoa algumas de Dados no modelo
informações organizacional
do sistema, das companhias
sendo necessário explorá-las para obt
•O GrupoPolítica
EDPde Segurança
segue para sistemas
uma Política de Segurançade controle e automação
da Informação industrial
elaborada (ICS)
internamente observando os melhores padrões e
•paraMetodologia de gestão da
a gestão da Segurança de informação.
riscos cibernéticos
• Plano de resposta a Incidentes
Tendo em vista
A empresa adotaa ausência de normativo nacional, a ARGO adota as políticas de segurança energética estabelecidas nas no
como referência:
ISA/IEC
POSIC INTERNA, baseada na ISO 27000.a Lei Geral PD.
62351. Nacional consideramos
Norma NBR&ISO/IEC
ISO 27001 27002, 27001:2013
NIST 8035, LGPD– Tecnologia da InformaçãoMarco
(Lei nº 13.709/2018), – Técnicas deInternet
Civil da Segurança
(Lei–n°
Sistemas de gestão
12.965/2014), da segurançade
Procedimentos d
Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da
Inicialmente
Implantação adaempresa
cultura
Política de segurança utilizou
dade Data as
informação,praticas
Privacy recomendadas
baseada
política de uso no Framework
no framework
aceitável, de combate
política doàNIST,deuma
xcyber
de gestão vez que Anão
terrorismo
incidentes. do haviam
NIST, políticas
este
companhia e práti
framework
precisa atendp
Outras referências utilizadas são a norma do NIST SP 800-82 Rev.2 e as normas
no Brasil será regulamentada pela Lei Geral de Proteção de dados Pessoais – LGPD. do NERC-CIP.
Com o advento do Framework da ABRATE, que tem como sua princípal referência o framework do NIST, a empresa passou
brasileira.
O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo ser adaptad
segmento. Seguimos a LGPD e o Decreto Nº 10.222.
O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo ser adaptad
e/ou segmento.
Ainda não trabalhamos no Brasil. Pretende-se utilizar as normas da ANEEL como referencia nas questões de SEP e as norm
A empresa tem implementada a Política de Segurança da Informação, através de treinamentos, processos e comunicação.
Segurança da Informação.
4. Centrado no usuário
5. Inovação e Co criação
6. Educação
7. Certificação e Soluções para Infraestruturas Críticas
8. Transparência e Respostas
9. Ambiente Regulatório
10. Iniciativas Conjuntas
Não
Sim
Sim
Sim
Não
Sim
Quais as políticas e as práticas de segurança cibernética o grupo adota no exterior? Quais normas a empresa
segue como referência no exterior?
A empresa empresa uma Política de Segurança da Informação baseada nas melhores prática do mercado
usando como base conceitos da ISO 27001 e framework CIS.
Em algumas de nossas empresas, temos processos certificados na ISO 27001 e, também, seguimos as
diretrizes
Idem respostae boas práticas do NERC CIP; NIST CF e IEC 62443, sem necessariamente recorrer a certificações
anterior.
nesses padrões.
Além disso, somos auditados anualmente pelo Índice Dow Jones de Sustentabilidade (DJSI), que possui um
capítulo específico dedicado à segurança cibernética e segurança da informação, chamado "Proteção da
privacidade, segurança da informação e segurança cibernética".
Todos os anos, o vice-presidente de auditoria corporativa também realiza avaliações de vulnerabilidade,
testes de penetração e análises de segurança das operações de TI e OT de todas as empresas do grupo, por
meio de empresas de auditoria especializadas, como PwC ou KPMG.
Os resultados
As áreas dessasdo
de negócio auditorias geram planos
Grupo Iberdrola seguem depolíticas
ação e melhoria
e normasque de são apresentados
cibersegurança aos comitês
globais deEstas
próprias.
administração e conselhos de administração para avaliação e controle.
diretrizes estão alinhadas com normas e boas práticas internacionais para o setor elétrico. Anualmente, é
realizada
O Grupo Enela avalição
utiliza do
umnível de maturidade
framework global dedos controles e processos
cibersegurança de cibersegurança
implementado por todas as implementados
suas unidades, nos
departamentos
independente dodepaís. Tecnologia da Operação
Seu modelo funcionaldas áreas de negócio
e organizacional e o seu
garante umaresultado é utilizado
governança para direcionar
que integra a
aestratégia
relação investimento
global x nível
considerando de maturidade
requisitos, desejado.
regras e leis específicas de cada país.
As políticas e práticas adotadas são aquelas que o Grupo CPFL Energia já adotam no Brasil, tais como as
Os controles
normas definidos
e padrões são baseados em
de infraestruturas análise
críticas de risco, pelas
do NERC/CIP, diferentesde
metodologias linhas de negócio
framework comoISO-27001,
do NIST,
As tecnologias
distribuição, de proteção
geração, cibernética
transmissão, são discutidas
trading, globalmente
comercialização e em grupos
serviços. de trabalho.
ISO-27002, CIS20, Plano de Continuidade do Negócio e estrutura de Governança de Tecnologia da
A definição dos
Informação controles
baseada é baseadade
nos conceitos em melhores
COBIT, com práticas
ênfase nareconhecidas
aplicação deinternacionalmente,
práticas de controlecomo por
da informação.
exemplo
Conformeocitado
NIST (National
na respostaInstitute of Standards
da questão and EDP
4, o Grupo Technology). Comoas
aplica observa parte da gestão
melhores de risco,
práticas incorpora
e frameworks
A
doArgo é controlada
constantemente
mercado referênciapelas
novos empresas
requisitos
para dasGEB
segurança da(Grupo
leis de Energia
proteção
informação dede
em Bogotá)
dados
suas e REE (Rede
específicas
operações. Elétrica dedeEspanha).
e de controles GEB:
infraestrutura
as políticas
crítica e práticas
em nível de segurança adotadas levam em consideração as normas NERC, NIST e ISO como base
nacional.
para sua elaboração e avaliação periódica. Além disso, há um grupo de trabalho multidisciplinar específico,
composto por órgãos governamentais, exército e empresas de infraestrutura crítica para tratamento do
tema de uma forma ampla e estratégica, sob o ponto de vista nacional.
O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo
ser adaptado para outras normas de acordo com a legislação local de cada país e/ou segmento.
O nosso portfólio de soluções utilizam como referência as Normas internacionais IEC62443, NERC-CIP,
podendo ser adaptado para outras normas de acordo com a legislação local de cada país e/ou segmento.
Normas de segurança cibernética da North American Electric Reliability Corporation (NERC) conhecidas como
Critical Infrastructure Protection (CIP)
Adotamos as melhores práticas de segurança, bem como na Matriz e em nossas subsidiárias. Adicionalmente
aos itens mencionados na questão anterior, seguimos na Alemanha ainda a regulamentação da BDEW White
Paper (Whitepaper Requirements Österreich for Secure Control and Telecommunication Systems) em
projetos nos quais esse requisito seja necessário.
Há diferença de políticas e práticas
Não
Não
Não
Sim
Sim
Sim
Não
Não
Sim
Sim
Sim
Sim
Sim
Sim
Quais são essas diferenças? Por que razão existem essas diferenças?
Há diferença de contextos entre o Brasil e estes países, por exemplo: na Colômbia este tema
As diferenças são ocasionadas por causa de particularidades das legislações locais e por conta do nível de segurança mínim
As diferenças são ocasionadas por causa de particularidades das legislações locais e por conta do nível de segurança mínim
A segurança cibernética de SEP ainda não e regulamentada no Brasil. Nos Estados Unidos já e regulamentada desde 2005.
Atualmente sim, pois as empresas do setor elétrico brasileiro ainda apresentam investimentos modestos em soluções de C
inclusive aos equipamentos primários no pátio das subestações, baseados em rede Ethernet com protocolos de
comunicação tornam as consequências de falhas de segurança cibernética muito mais graves para o sistema de
potência. Portanto, as ações de proteção básicas devem garantir a disponibilidade, integridade e
confidencialidade da infraestrutura crítica associada a todas estas aplicações.
•A definição clara
Considerando que das ainda regrasnão permite
há nenhuma aferição norma de aderência
específica asobre
boassegurança
práticas tanto do regulador
da informação para e fiscalizador
o setor elétrico
Devido
quanto
Qual a àà necessidade
própria
abordagem empresa.
mais deadequada
proteger os
de ativos
eventual críticos do setor,
regulação deve-se
(prescritiva, adotar
orientativa,uma abordagem
voltada para prescritiva,
autorregulação desdedo
brasileiro,
que acompanhadajulgamos que
por neste
remuneração, primeiro poismomento
do ponto a regulação
de vista deveria
sistêmico ser
o orientativa,
efeito prático tal
é o como
aumento adotadoda na União
mercado,eentre
Europeia Estados outras)
Unidos. paraAssim,
que osasobjetivos
empresas deteriam
segurança margem cibernética
para sejam plenament...
confiabilidade
Também
Corroboramos seria enecessário
disponibilidade.
com a prever
contribuição Tais
alguma
da medidas
ABDIB de prescritivas
remuneração que a para devem
regulação manutençãoserse
sobre
adaptar
feitas
esse em
datendo
em como
termos
infraestrutura
tema é vista gerais
como
implementar
de
deparasegurança
relevante
novos
estabelecimento
requisitos,
A
de
A Light
padrões
abordagementende
cibernética,
considerando
mínimos,que emdeve
regulatória
tendo semvista
suas
ter
entrar
deve características
uma
evolução em regulação
considerar detalhes
tecnológica
próprias
mínima do
de implementação.
a interligação
e oesforços
negócio,
queentre
prescreva
desejado os também
padrões
agentes
aumento do mínimos
e anível incentivos
a serem seguidos
interoperabilidade
de maturidade.
buscar
dos esistemas,eemaior
a partir
de
prioritária
diferencial
de determinado para o
competitivo.momento
ponto, atual
teruniformidade e deve
uma regulamentação concentrar orientativa com o objetivo
e autorregulada. de manter a
A auto-regulamentação segurança a
pura, deixa
Qualquer
forma a
confiabilidade medida
garantir da que
que
operaçãonão
haja considere
do Sistema o investimento
e isonomia
Interligado na necessário
consecução
Nacionalem (SIN), para da
face adequação
segurança
a sua deixando dos parques
cibernética.
natureza de serviço deve
Também ser orientativa.
deve
público e quais
Ainda
margem
Devido não
considerar está
à adiversidade,
o aspectoclaro
subjetividades atéemque
econômicono ponto
nosso
aspectos eque ascomplicado
já políticas
operacionais
temporal, eme eeventual
sistemas
arcabouço
funcionais, uso instalações
legal
das
regulação, sãoobservando
capazes
brasileiro, nodeSetor
endereçar
as sempre
Elétrico
limitações o problema
as
daempresas
Brasileiro,
indústria.
imprescindível.
seriam
passiveis osacustos
questão Ressalte-se
paradeda liabity ainda
implementar a depender a
sistemasexperiencia
doscom atores internacional
maior que proteção,
interpretem tem demonstrado
tampouco fatos,a por
osconsiderado facilidade que
outro eventuais
de acesso
lado, incidentes
à essas
a autorregulação novas
independentemente
cibernéticos tem gerado abordagem
impactos e regulatória
prejuízos de a ser
valores adotada,
muito deve
elevados,ser o que reforça o estabelecimento
ainda mais a de um
necessidade
ferramentas.
permite
prazo razoável Dessa
flexibilidade para forma,
adequação a
para acompanharregulação
de não deve
a dinâmica de
compatibilidade criar dos barreiras
assunto
agentes de
tãopara entrada
recente,
o para novos
mutável e dos
atendimento e
cheiopequenos
de nuances.
requisitos agentes,
mínimos
de implementação
Entende-se que de medidas
abordagem de segurança.
decibernética,
regulação ada segurança cibernética deve ser orientativa, buscando
tampouco
A regulamentação
estabelecidos burocracias
para poderia que ser
segurança prejudiquem
prescritiva eficiência
ao
de definir
forma os docontroles
que negócio. Além
necessários
os investimentos disso, uma
para regulação
possam segurança
ser planejados muito deaespecífica
das operações, intervenção
acordo mas a
com
mínima.
tende
sem a
entrarIsso
sofrer
especificidade em porque
muitas
detalhes o
e complexidade ambiente
alterações,
técnicos, de tecnológico
devido
de
cada processoao é
rápido
instalação. muito
ou de dinâmico.
avanço
ferramentas Uma
tecnológico, regulação
utilizadas prejudicando
para prescritiva
a sua a pode
estabilidade
execução. inviabilizar
regulatória.
Concordamos
respostas
Como medidasrápidas que eéjustificada
necessária
eficientes
orientativas, uma
para
consideramos abordagem
aorganizado
correção quedas regulatória
fragilidades orientativa
conforme (i) (corregulação),
oconscientização
tipo e membros,
o grau com
dedos o colaboradores
estabelecimento
exposição aoerisco, de
A resposta
Autorregulação:
Autorregulação,
parâmetros
A resposta acima
foimínimos emé
uma
encaminhada que
vez
a serem um
que na pelo
grupo
existem
observadosfato
primeira de que
particularidades
por apoderia
todos
contribuição definição
regula oso
serclara
muito
agentes
devido
sugerido:
comportamento das regras
aespecíficas
integrantes
limite de
ade
dopermitirá
seus
setor
do
caracteres.SIN. aferição
elétrico
Reputamos que de
elaborandoaderência
precisam
aconselhável, sera boas
ao
necessárias
sobre
práticas segurança,
monitorando tanto em asdomomentos
dado
regulador
normas, que de
açõeso crise,
usuário
quanto ou visto
é o
da empresa
códigos que
elo eventuais
mais frágil,
regulada. ataques
masPor também
suasoutro são imprevisíveis.
pode ser
lado, haveria o
Porqueumaelo mais forte
grande de uma
dificuldade em
adaptadas,
mesmo
Além tempo,
disso,
estruturada por esse
que
apolítica
abordagem no segurança
ANEEL
de tocante
adote
orientativa ascuidados
rede
da TO que
permite
informação, (onde
para disciplinam
maior existem
evitar
(ii) a ao questões
máximo
flexibilidade
autenticação
atividades.
o extremamente
aos engessamento
deagentes
senhas para
ecaso
acredito
críticas noque
e o estabelecimento
implantar
credenciais que
novas
fortes,
estamos
tange adiante
de
tecnologias
comlegadas,
mais dee
controlar
de um
latência).
soluções as
parque
muito soluções
totalmente dos
abrangentes diversos
miscigenado, agentes
e adetalhadas no
composto
para tocante por a
a implementação segurança
novas tecnologias
dos cibernética,
mas
programas também
eque não por
respectivas houvesse
tecnologias um
ferramentas, a as
fim
novos
uma requisitos
camada
ordenamento
onde de de
padrão segurança,
proteção, (iii)
(prescritivo), de acordo
gestão de com as melhores
vulnerabilidades,
o que inviabilizaria práticas
como
a einterligação o de
hacker
dos segurança
ético
sistemas vigentes
dedeste objetiva
proteção e adequadas
mapear
e controle as para
falhas
(TO)de de
de quenem
especificidades
segurança,
sempre
a regulação
(iv) ode uso
será
não
seusde
possível
se torneàrapidamente
sistemas.
sistemas
aderência
de detecção
aodefasada
de
novo procedimento
ameaças, obsoleta
entre
de
diante
outras.
rede.da Diante
rápida evolução cenáriode um grupo
tecnologias
com
Devido
combateo ambiente
organizado poderá
à necessidade deadequar
Internet
de segurança (TI).
as
proteger Além
normasos disso,
á todas
ativos empresas
as realidades.
críticos grandes
do setor, e pequenas
deve-se adotar devem igualmenteprescritiva,
uma aabordagem seguir o que será
desde
Os
As
Com baseaos
agentes
próprias
prescrito
que na
acompanhadaemdo ataques
normas
experiência,
regulamentação
por
de
setorvigentes
elétrico já estão
sobre
abordagens
uma
remuneração,
ocibernética.
vez sujeitos
tema,
somente
que
pois ocomo
do
a regulamentos
nível
ponto
adePolítica
orientativas
segurança
de vista
afetos
Nacional
não dogeram
sistêmico
ade segurança,
sistema
o
Segurança
os resultados
seráprático
efeito
exemplo
da
definido Informação
esperados.
é opelo daponto
aumento
LeieRegulação
Sarbanes-
amais
da
Lei Geral dede
frágil da
Oxley,
Proteção
mercado
rede para deaqueles
com
conectada. Dados
indicações que possuem
Pessoais, mais são de
clarasaçõescaráter
e registradas
objetivas orientativo
de na Securities
itens aomandatórios
estabelecer and Exchange
diretrizes
tende a Comission
sergerais,
mais sendo– SEC,
eficiente. essa e Lei
tambémGeral deuma
confiabilidade
Entendemos
Proteção
abordagem e
deusualmente
Dados disponibilidade.
que qualquer
– LGPD, que
estando
aplicada Tais
seja medidas
emasujeitos
forma setores
outros que prescritivas
venha
de igual devem
a seràsadotada,
forma ser
medidas feitas
pela em termos
regulação
punitivas
Em umcorrelatas. gerais,
deverámomento, sem entrar
levar em ao evoluir
Ainda em
Na expansão
detalhes
consideração do sistema
de implementação,
assegurança
regras de deremuneração,
potência
com (autorizações
o estabelecimento
aagentes
que eda
os também
agentesde
economia
leilões) terão
controles
estarão
nacional.
que ser
claros
submetidos considerados
ea auditáveis.
parapor
segundo
fazer os custos
frente aosde
especificamente
nas práticas
implementação de depara o
recursos setor
da de elétrico,
informação
segurança os as empresas
cibernética e de estão
poderiam
sua sujeitos
partir
manutenção. para sanções
a autorregulação.
Se as regras força
forem de descumprimento
claramente
Qualquer
Inicialmente
investimentos
contratual. medida que
o necessários, não
Grupo Energisa considere
expõedevem
os quais o investimento
o entendimento
ser enquadrados necessário
que a eventual para
como reforço. adequação dos parques
regulamentação a ser publicada deve ser pororientativa.
essa
definidas,
Devido
ANEEL à
deve as implementações
heterogeneidade
contemplar das serão
aossegurança equivalentes
instalações no
das instalações Setor o que garantirá
Elétrico
do Sistema segurança
Brasileiro,
Elétrico e equidade
independentemente
Brasileiro (Tecnologiado investimento.
da abordagem
Operacional – OT),
Também
Cabe cabe
reforçar frisar
queadotada, que
os custos diversos
dessa agentes já investiram de alguma forma em tecnologias de segurança
regulatória
não incluindo
cibernética adeser
os ativos
forma deve
e ambientes
proativa, seradequação
por concedido
computacionais
entender a
poderão
aos agentes
importância
ser umaltostempo
corporativos
do
para
tema
os
(Tecnologia
em
agentes.
suficiente
suas
Logo,
dapara
Informação
operações.
é imprescindível
o atendimento
Tais –IT). Esses
recursos dos que
podemúltimos,
ser
haver
em remuneração
requisitos
especial, a serem destespadronização,
são deexigidos
difícil investimentos
quanto à segurança via receita,
tendo em seja
cibernética.
vista queviaos RAP ou via RAG,
ambientes, para queeseja
fabricantes garantidosão
arquiteturas ao agente
muito
perdidos
assegurar na eventualidade
a confiabilidade de uma
e a mesma regulação
integridade prescritiva,
do tratamento uma
dos dadosvez que há
frente o risco
às novas de se determinar
exigências obrigações
deesegurança que
heterogêneos
na prática
Entendemos se dentro
mostrarão
que uma departeuma
em discordância
da regulação empresa;
ao que
deveria entre
já foi
ser empresas
aplicado.
enquadrada decomo
Há um
ainda mesmo
que se grupo
prescritiva, considerar econômico
onde os o impacto
requisitos ainda maise
financeiro
mínimos
O Grupo
controle
entre CPFLmesmos.
dos
diferentes Energia
agentes entendedocumpridos
setor queelétrico
deve ocorrer uma implantação mista da regulação, pois todos os setores
para os
(geração,
O
segmentos
estabelecidos deverão
transmissão,
estabelecimento
de geração,
de ser
distribuição
requisitos
transmissão
e pelosbrasileiro.
e distribuição,
agentes.
comercialização)
regulatórios voltados E estão
outra
para
visto
parte que
conectados
cibersegurança
a hipótese
classificada
em algum
deveria
de regulação
como orientativa,
ponto
ocorrer em em
prescritiva
comum umaetapas:
duas evez
uma quea o
Sempre
certamente
nível de restrito
maturidade à
implicará Tecnologia
de em cada Operacional
adaptações
empresa das
é (OT),
práticas
estabelecido o Grupo
de de Energisa
segurança
acordo e
comentende
tambémas que
num
necessidadesa abordagem
alto custo
de cadade deve ser orientativa,
manutenção.
agente.
invasão
primeira, cibernética
orientativa, em qualquer
iriado permitir nível pode
aos agentes comprometer
se organizarem toda a cadeia.
internamente Sugere-se
para que tal implementação seja
com
baseada
o Órgão
Entende-se nos queRegulador
esse impacto
padrões NERC/CIP,
Setor Elétrico
financeiro,
com o
definindo
uma
objetivo vezde
padrões mínimos
suportado
definir um pela
nível
de segurança
metodologia
mínimo de de aremuneração
segurança
aadequação
serem adotados
da
de suaspelas
aplicável
informação a aser
cada
instalações,
empresas.
negócio, normas erefletirá
certamente políticasem internas
aumento aosda novos
tarifa requisitos
ao consumidor regulatórios propostos e a segunda fase, prescritiva,
final.devem
implementado
seria
Assim,baseada
os agentes na emfiscalização
cada uma
terão um dos do
maiorsegmentos.
cumprimento
flexibilidade Todavia,
para os
destes níveis mínimos
requisitos.
implantar Também
novos ser
entendemos
requisitos dedistribuídos
que deverá
segurança, entre seras com as
de acordo
abordagens
considerado prescritivas
o ressarcimento e orientativas
dos agentes de regulação,
mediante bem como
comprovação
melhores práticas de segurança vigentes e adequadas às características/especificidades de seus sistemas. flexibilizados
de novos em função
investimentos do emporte e
melhoriasimportância
de suas
da
Por instalação
se tratar ano
infraestruturas sistema
para elétrico,
o cumprimento
transmissão de concessãode dosforma deanáloga
novos ao
requisitos,
serviço quetanto
público já(atividade
é considerado
durante nos Procedimentos
a etapa
fortemente orientativa
regulada),quanto com de Rededurante no que
a
tange
etapa às
de instalações
regulação
interdependência estratégicas.
prescritiva
entre agentes Dessa
posterior.
(tendo forma,
em vista buscam-se
o sistema intervenções
ser interligado) mínimas
e por do
sua regulador,
vez uma de forma
plataforma que
Uma
sejam mescla
oportunizadosde prescritiva aosoutros com orientativa.
agentes de tais setores A abordagem
a liberdade orientativa,
de escolha conforme
pela o framework
implantação de novosABRATE, com uma
mecanismos
para
prestação
modelo de de serviço de
maturidade e com segmentos
avaliação das do setor
empresas elétrico,
é entendemos
necessária, uma fundamental
vez que se haver
recomenda regulação,
fazer mesmo
segurança
de
que segurança
mínima, da informação
para os parâmetros que principais
atendam às de suas necessidades.
segurança pois a obrigatoriedade de melhores práticas faria
cibernética
O grupo ENEL com gestão
considera de
que riscos.
seria Porém,
mais devido
adequada asumacaracterísticas
abordagem
O Grupo EDP entende que a Autorregulação através da orientação utilizando os frameworks e melhores práticas do mercado
orientativa regulado
de alto brasileiro,
nível com o uso dacom
que todas
abordagem
estabelecimento as empresas
prescritiva
de éadotassem
uma
princípios
para segurança da informação em ambientes de TI e OT. forma
que tais
de
permitammedidas
criar um e, ao
padrão
atender mesmo
os mínimo tempo,
requisitos de as normas
conformidade.
de segurança adoserem setor criadas
sem seriam
comprometer mais a
eficazes
Toda
autonomia pordas
e qualquer serem específicas
modificação
empresas para
pararegulatória
definição o setor dequeelétrico.
suaexija Umarquitetura,
uma
própria ponto importante
abordagem específica
métodos a sereno considerado
tratamento
modus operandi édaque ostratamento
segurança
para
investimentos
cibernética,
e mitigação dos trazadvindos
impactos
riscos dafinanceiros
referida regulação
identificados, relevantes
respeitados nãoosqueestavadevem
segredos previsto
ser no momento
considerados
industriais nadoremuneração
e de negócio leilão, pois édos impossível
agentes.
prever e mensurar para um período de longo prazo, como é o de uma concessão, todas as mudanças tecnológicas
que podem
Uma abordagem acontecer neste sentido.
orientativa pode ter um impacto menor nos custos de adoção de soluções distintas, já uma
Prescritiva,
abordagem pois tem maiores
prescritiva preve chances
um de adesão
investimento por um número
e padronização que maior
possadecausar empresas,um gasto e facilita as áreas
adicional de
ao setor.
Prescritiva:
Tecnologia & que consideram
Segurança da requisitos
Informação detalhados,
ao obterem aorçamentos.
exemplo dos padrões CIP/Nerc;
Também, deve-se avaliar
Devido a experiência os impactos
já existente em termos
em outros mercados,de segurança,
consultorias riscos e adoção de uma
e fornecedores abordagem
de serviços mais
e soluções
orientativa,
Seria uma
tecnológicas. uma
abordagem vez que mais a abordagem
prescritiva, prescritiva
com as pode
seguintes prevêr
definições: um nivelamento
contratação dasde empresas.
equipes Já uma
especializadas, abordagem
orientativa
aquisições de soluções especializadas em segurança e adoção de metodologias mercadológicas utilizadas o setor)
é menos restritiva em termos de implantação de tecnologias, pode ser mais abrangente(todo
emundialmente
a prova de futuro. comoAoautoregulação
NIST. parece ser valida em setores onde é prevista uma competição entre as
empresas.
Recomendo que a regulação seja orientativa, fornecendo ferramentas para que a ANEEL possa atuar caso
necessite de uma
Autorregulação ouação incisiva. A regulação prescritiva peca por não acertar a correta dose de esforços,
Prescritiva
ignorando as peculiaridades de cada empresa. A regulação deve ser principiológica, podendo exigir alguns
Autorregulação. Penso
requisitos mínimos, que para
de forma queo asetor elétrico
empresa a ANEEL
possa deva ser
se adequar de aacordo
responsável
com seupor regular
porte e auditar as
e natureza.
empresas quanto aos procedimentos de segurança cibernética, tanto para as redes de TI (Tecnologia da
Informação) quanto para TA (Tecnologia de Automação).
Entede-se que deve ser feito em duas etapas: a primeira prescritiva e para a preparação e padronização junto as
concessionárias, e em um segundo momento Aotorregulado para melhor gestão e maior adesão, bem como
revisão, e se necessário inserir dentro do contexto das demais normatizações, como MCPSE e PRODIST.
Toda e qualquer modificação regulatória que exija uma certificação de empresa, profissional ou serviço, trazem impactos fi
Um conjunto de controles de segurança definidos (a exemplo do conteúdo do NERC CIP) a serem cu
Talvez o caminho mais adequado seja exigir auditorias independentes de forma periódica. Dessa f
As empresas devem perceber valor na certificação de segurança cibernética, e não apenas um meca
As certificações vem como uma forma de mitigar os conhecimentos e habilidade relacionadas à segu
Nota-se ausência de certificação específica no Brasil para empresas do setor e profissionais de TO.
A auditoria dos processos definidos pela ANEEL seria mais eficiente do que certificar as empresas, tendo em vista o impact
Os produtos devem ser certificados em novos empreendimentos, para equalizar o nível de segurança dos proponentes, ou
Cada empresa deverá determinar seus critérios para a certificação de profissionais de acordo com a sua realidade.
O
SeCIGRE-Brasil
a certificaçãoentende que aoferecer
em questão certificação pode na
diferentes verdade
níveis, criar
pode umexposição
haver custo adicional ao de
do nível processo, além
segurança dade prolongar excess
empresa.
Outra preocupação do CIGRE-Brasil nesse aspecto é que uma eventual certificação seja encarada pelos agentes como um m
Assim, como sugestão, pode-se considerar a realização de Auditorias para confirmar aderência das soluções técnicas com
e atuação no Brasil é reduzido em relação ao fornecimento em outros países nos quais existe regulação para Cyber Security para infrae
Em
Como
Sendonossa
em visão,
qualquer
o setor a certificação
processo
elétrico deé importante,
um sistema que deve pois
certificação, estabelece
sobretudo
minimizar um nível
osaqueles
efeitos que de segurança
têm a norma
de eventuais a ser
ISO atendido
como
interrupções padrão,
da por
é todos dos
continuidade os agentes ee
serviços,
Há ameaças que podem vir de fábrica com os equipamentos – firmwares, por exemplo- e, se não houver uma regulamenta
A
A certificação
regulação deve é um instrumento
considerar de aumento
a criação e de controle
de diretrizes, de qualidade
considerando e de redução
os frameworks Cobitde5, custos pois aumenta
ISO 27001, NIST CSF eeficácia em
ISA/IEC62
A ANEEL deveria escolher quais normas nacionais e internacionais (ou entidades certificadoras) que os equipamentos deve
ÉNoimportante
Entendemos destacar
Brasil a ANATEL
que caso que
certifica
se certificação
ospor
opte institucional
equipamentos
umapara a serem
certificação, indica, com certo
empregados
a regulação nograu
deveriapaís
serde
porsegurança, o níveldedeuma
ser a regulamentação maturidade
brasileira dotelecom
de agentec
O desenvolvimento
Essa
Quanto certificação
aos deproporciona
profissionais procedimentos
deveria uma
ser exigido mitigar
avaliação
que os os riscos
interna doseagentes
responsáveisa definição
pela em deconstruída
parâmetros
relação
implantação à
a partir
conformidade
dos sistemas deou
base (framework)
de compatibilidade
não dos
segurança aseus
serem
sejam aten
process
certifi
Alguns
No aspectos
entanto, tais como custos
eventuais incorridos,não
certificações seleção
devem de implicar
órgãos certificadores
transferência ede
a seleção do framework
responsabilidade. No devem atual,
cenário ser considerad
é necessá
Se por umde
A certificação lado a regulamentação
profissionais pode conternaexigências
e de equipamentos obrigatórias(TI)
área de informática deécertificações,
uma exigência pordooutro lado,fornecedor
mercado é importante qued
O incentivo regulatório
Um aspecto aos agentes
a ser destacado do setor
é que pode serde
a certificação promovido por meio
fornecedores do reconhecimento
de produtos e de serviçosde melhorias
para o setor na infraestru
elétrico seria
Em relação ao reconhecimento
Uma proposta é que a ANEEL de preveja
ativos voltados à segurança
a remuneração cibernética,
dos agentes, é provável
todos que seja
os dispêndios necessária avoltados
já executados, revisão dosparasea
a) Manual de Contabilidade
Com relação do Setor
à certificação Elétrico;eeprofissionais, sugere-se que a certificação seja revalidada periodicamente e
de processos
b) Manual de Controle Patrimonial do Setor Elétrico.
A medida que o tema for evoluindo as questões relacionadas com a certificação também deverão ir progredindo. Com isto
Da mesma forma que recomendado na questão anterior, sugerimos que o assunto seja apenas acompanhado inicialmente
No âmbito do setor elétrico, o que deveria ser considerado como infraestrutura crítica?
A infraestrutura crítica se compõe especialmente dos ativos do sistema elétrico de potência do Sistema Interligado Nacion
O Decreto
Mas nº 9.573/2018,
as outras quede
infraestruturas aprovou
energiaa elétrica
Política também
Nacional devem
de Segurança de Infraestruturas
seguir praticas Críticas,
de segurança considera,
cibernética no inciso
(geração, I, d
distrib
Sugere-se
Entendemosclassificar como infraestrutura
que os critérios crítica
do Decreto são para o setor
apropriados paraelétrico
fins deasclassificação,
infraestruturas
comdas instalações
observância daníveis
dos Rede de
de criticida
Operaçã
Em síntese, sugere-se que seja considerado infraestrutura crítica relativa à segurança cibernética todas as instalações, siste
Sob o ponto de vista de segurança cibernética, as infraestruturas críticas são aquel
Infraestrutura crítica na nossa
A resposta foi encaminhada navisão está contribuição
primeira relacionada com os ativos
devido a limitedaderede TO.
caracteres.
Ativos de rede que possam ocasionar falhas físicas, estruturais e prejuízos financeiros.
Os critérios devem ser segmentados por negócio sim.
Primeiramente acredito que os critérios deveriam ser individualizados por segmentos.
Tal como respondido
O próprio na pergunta
termo "infraestrutura #4, entendemos
crítica" se refere aoque quea écomercialização
essencial para ade energia não se enquadra como infraestrutura
sociedad
Corroboramos
Entretanto, os com a contribuição
critérios estabelecidos da pelo
ABDIB de diferenciação
Decreto 9.573/2018 dopara
graudefinir
de regulação das medidas
infraestruturas depodem
críticas segurança cibernética
eventualmente
Infraestrutura
No setor crítica
elétrico, são todos
pode-se adotarosuma
ativos, sistemas, ebaseada
metodologia redes, físicas ou virtuais,
no critério consideradas
de classificação vitais para
de Instalações oEstratégicas
setor, e quejácuja
apre i
Em
Os princípio,
critérios os
para critérios deveriam
classificação como ser individualizados
infraestrutura por
crítica segmento
devem ser considerando
definidos levando a gravidade
em das
consideraçãoconsequências
o segmento dos
de ata
atu
De uma forma geral, nos parece necessário que cada segmento (geração, transmissão, distribuição e comercialização) siga
Contudo,
Ainda é importante
assim, considerando considerar
que umque devem
ataque ser definidos
cibernético diferentes
envolve os níveislateral
movimentação de criticidade inerentes
e com isso aos diferentes
as interfaces entre as seg
infr
Assim, é prudente
i.Infraestrutura
a arquitetura que
da rede
crítica se
são identifique
dotodos
agente, parasistemas,
cada um
capilaridade
os ativos, edos
e posto segmentos
de conexão
redes, os
físicas ou respectivos
entre redes
virtuais, deelementos
tecnologia
consideradas críticos para
da informação
vitais para a devida
o setor,(TI) e mensur
e queTO;cuja i
O
Osdecreto
ii. os 9573
controles
critérios de 22/11/2018
tecnológicos
para classificação aprovou
decomo
segurança a cibernética
Política Nacional
infraestrutura de Segurança
implementados
crítica devem paradeimpedir
ser definidos Infraestruturas
levando Críticaslateral
movimentação
em consideração – PNSIC queas
o entre
segmentoem seu Ar
de atu
Contudo,
localidades; é importante considerar que devem ser definidos diferentes os níveis de criticidade inerentes aos diferentes seg
Consideramos
iii. os controlescomo infraestrutura
tecnológicos crítica as
de segurança instalações,
cibernética serviços, benslocalmente;
implementados e sistemas cuja interrupção ou destruição, total ou
Na proposta de procedimento de rede do ONS, o ambiente
iv. mecanismos para “isolar” a localidade em caso de um ataque cibernético; abrangido compreende as subestações de energia e centros de
Ainda,
v. acreditamos
capacidade que
de detecção a individualização
de dos critérios exigidos por segmento (geração, transmissão e distribuição) poder
O Grupo
Sugere-se Energisa entende
classificar queum ataque;crítica
a eventual
como infraestrutura regulamentação
para o setora elétrico
ser publicada por essa ANEEL
as infraestruturas das deve contemplar
instalações a segurança
da Rede de Operaçã d
vi.
O impactos
Grupo ambientais;
Energisa considera como críticas todas as camadas do Purdue Model (ISA 99) abaixo dos
Em síntese, sugere-se que seja considerado infraestrutura crítica relativa à segurança cibernética todas as instalações, sisteníveis 3,5 até o 0.
vii.
Pararisco a vidaTransmissão
Geração, dos funcionários e da comunidade;
e Distribuição os critérios permanecem associados às camadas críticas descritas acima (foco em
viii. relevância da localidade para o negócio.
O Grupo EDP
Também entende que
é importante a infraestrutura
destacar crítica
que controles das empresas
tecnológicos do setor
podem elétrico em
ser utilizados diz respeito às redes operativas
pontos estratégicos da rede epara
seusimp
re
Os
No critérios
âmbito dopara classificação
Sistema Elétricocomo infraestrutura
Brasileiro, críticaEnergia
o Grupo CPFL não devem estar
entende relacionados
que devem ser diretamente ao segmento do agen
A infraestrutura
Além disso, devemcrítica das empresas nono
ser individualizados âmbito dode
sentido setor elétrico as
considerar refere-se às redes
diferenças operativas
existentes entreeosseus respectivos
sistemas sistemas
corporativos e
Os critérios para classificação como infraestrutura crítica devem obedecer a requisitos específicos de arquitetura de autom
Além disso, os controles de segurança devem obedecer a requisitos e particularidades, considerando as diferenças existen
Os criterios também dependem da abordagem regulatória. Uma abordagem orientativa ou autoregulação até poderia ser
A infraestrutura crítica deve ser o "core" de uma concessionária. Penso que os critéri
É bem desafiador criar uma definição objetiva do que é infraestrutura crítica. Em telecomunicações, utilizamos a seguinte
"instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos o
Na minha opinião, infraestruturas de geração, transmissão e distribuição são crítica
Devem ser factíveis aos preceitos dos normativos regulatórios atuais de cada seguimento, incrementando recursos com vi
Sim
Sim
Não
Não
A barreira à evolução tecnológica pode ocorrer se os requisitos criados pelos órgãos reguladores tratarem de soluções defi
A
OuDigitalização está transformando
seja, cada empresa diversos
ter a sua política aspectos da
de segurança vida moderna.
cibernética Atualmente, bilhões de dispositivos estão conecta
e segui-la.
Logo, dado que os ciclos tecnológicos dessas tecnologias emergentes (IoE) estão cada vez mais curtos, sugere-se que exist
Ainda, sugere-se que a regulação aborde os mecanismos de segurança que devam ser aplicados, mas não que tecnologia o
O Idec considera que duas preocupações devem ser centrais no que tange possibilidade
Sim de inovação no setor de energia e
Outro elemento que pode gerar óbices à inovação é a ausência de competição adequada no mercado, já que a concorrênc
Sugerimos que as soluções tecnológicas sejam amplamente debatidas em um âmbito técnico dos agentes e que se vincule
Para criar um foro específico técnico sobre segurança cibernética e desenvolvimento de alternativas tecnológicas adequad
De todo modo, quando da avaliação dessas soluções técnicas pela ANEEL no âmbito da regulamentação, entendemos que
Ver resposta para o questionamento n. 5.
As
As soluções
soluções regulatórias
regulatórias deverão ter foco nos
devem considerar resultados,
critérios usarem
baseados estruturas
práticasde gestão deaceitas,
largamente riscos cibernéticos flexíveis,
referenciadas enfatiza
nos demais fr
Se a regulação
Ações se dáaatravés
que agilizem de, por
elaboração exemplo, uma
e atualização estrutura de gestão
de regulamentações, de riscosdacibernéticos
à exemplo CP28/2020,flexível
podemcomo o aajustes
facilitar do NIST, qu
e ev
Podem ser prescritivas,
As normas, limitando-se
padrões e processos a requisitos
a serem adotados mínimos
deverãoque
serpermitam às empresas como
sempre especificados adotarem açõesmínimos,
requisitos e políticasdeixando
de seguraa
Uma alternativa que pode ser considerada, também, é a criação de um mecanismo que possa agilizar os investimentos em
É importante que a regulação foque em diretrizes de segurança, priorizando mais as funcionalidades, sendo estas de carát
Uma
O fatovez reconhecida
é que os agentesa importância da segurança
devem ter autonomia paracibernética no setor
implementar elétrico,
as soluções é necessário
através dar o disponíveis
dos recursos passo inicialtecnológicos
para melho
O foco das medidas regulatórias deve ser mantido em princípios para evitar a criação de processos burocráticos e novos cu
Assim, a regulamentação poderá ser discutida e implementada com base em “objetivos” e “fins”, evitando amarras e reco
A exemplo de outras áreas com uso mais intenso da tecnologia, a evolução das questões relacionadas com a segurança cib
Caso venha a ser estabelecida, a regulamentação deve ter como orientação ser um facilitador da evolução e não o contrár
Sobre os pontos positivos e negativos da troca de informações seguem abaixo.
Pontos Positivos:
Apesar - Permite de anãotroca praticar trocas de informações
de conhecimentos e experiências no exterior, entendemos que
sobre cibersegurança a troca
para de informações
a implementação de pode possibilitar:
melhorias nos
conhecimentos
processos
No caso deepraticar e experiências
políticastrocas de informação no exterior, existe algum órgão centralizador das informações ou a troca éa
de segurança. sobre cibersegurança, estimulando melhorias nos processos e políticas da empresa,
adoção
-diretamente
Promove de agilidade
medidas
entre asemergenciais
na troca
empresas? preventivas,
de informações
Quais empositivos
que
os segurança
pontos função de
possibilitem incidentes
a adoção
decorrentes detectados
de medidas por outras empresas;
emergenciais de a cooperação
prevenção a
Nosso
mútua grupo
entre compartilha
empresas e informações
profissionais de
de segurança internamente,
que estejam comda
sofrendo
troca
a finalidade
ou
de...
tenham desofrido
identificar
o ações
mesmo coordenadas
tipo de incidente,de
incidentes
ataque e detectados
melhorar o em geral
nível outrasdeempresas
segurança. do setor;
para
- Permite fins de resposta.
a cooperação
O compartilhamento demútua entre empresas
informações de segurança e profissionais
é importante de para
segurança que estejam
a manutenção sofrendo
do nível ou tenham
de segurança dosofrido
setor. Noo
mesmo
entanto, tipo
o de incidente;
reporte deveria ser realizado em fórum controlado, com acordos de confidencialidade entre as partes, proteção
Os pontos negativos
-daFavorece a troca deseriam eventuais
conhecimento comexposições
empresas dessas informações em esegurança
das vulnerabilidades acaso existentes.
confidencialidade dos dados. O ponto positivo é aespecializadas
colaboração entre os agentes dapara
Informação.
a melhoria na identificação e
prevenção de ameaças e incidentes cibernéticos do setor elétrico. O ponto negativo seria, no caso de não haver proteção
A
Pontos ChesfNegativos:
adequada nodasmomento não pratica
informações, a troca de
a divulgação informações
indevida de segurança
de informações energética
incompletas de no exterior.
análises de segurança a terceiros. Como
Para
-osRiscoataques independem da vontade do agente, o compartilhamento de informações não devecom
a área
de de
exposiçãoTI existe
de um compartilhamento
informações e de
vulnerabilidades informações
da empresasobre a incidentes
terceiros; de segurança as empresas
ser motivo do grupo
de sanção.
Eletrobras. Na área de TO atualmente não ocorre compartilhamento de informações sobre incidentes de segurança. A
equipe de TI da Chesf também recebe informações de incidentes de uma lista administrada pelo DSI – Departamento de
Segurança da Informação – que é órgão ligado ao Gabinete de Segurança Institucional da Presidência. Essas informações
Existem
são reportadas alguns grupos
aos órgãos de discussões
da administração(ex. WhatsApp
direta por e Telegram)
meio do CTIR ondeGov é possível
– Centro a atualização
de Tratamento de muita coisa que
e Resposta a Incidentes
acontece, no
Cibernéticos de Governo.Brasil e no mundo, referente a segurança cibernética, bem como sobre ataques à infraestruturas críticas,
gerandopositivos:
Pontos discussões entre muitos especialistas desta área.
A
O troca
Grupode informações
Energisa tem como
não realiza trocapontos positivos fora
de informações a possibilidade
ou dentro do de Brasil.
adoçãoNo deentanto,
medidasele emergenciais
se subsidiade deforma ágil e
informações
eficaz nodisponíveis
públicas sentido de na se proteger
internet ou de naataques
imprensa;cibernéticos
e, também, ocorridos
de formaem indireta,
outras empresas
por meiodo setor,
das bem como ade
recomendações troca de
sim, a avaliaçãoexperiência
de uma entre
atualizações feitasos
empresa porprofissionais
aoparte
mudar dosde dessas
fornecedores
sistema empresas visando
de hardware
ou escolher aemelhoria
de software,
determinada dos como
ferramentaprocessos relacionados
éobrigação
balizada contratual
unicamente à segurança
destes.
por sua eficiência,
cibernética.
Os pontos positivos decorrentes da troca de informação seriam:
Pontos negativos: de aceleração de correção de novas vulnerabilidades e da maturidade e mindset de segurança;
• possibilidade
Os pontos
• divulgação negativos consistem
de melhores na publicidade
práticas adotadas;negativa que um incidente pode trazer à imagem da empresa, bem como
•no risco de exposição
Disseminar alertasdee umaalarmesvulnerabilidade
para outros agentesda empresa a terceiros.
do setor; e
A
• resposta segue na segunda
Compartilhamento contribuição
de inteligência devido a limite
de atividades de caracteres.
suspeitas.
O
Os
Os Grupo
comitês
pontos CPFL
de Energia não promove
cibersegurança
negativos: do Grupo a troca de informações
Iberdrola sobre segurança
são os interlocutores para acibernética com as demais
troca das informações empresas
entre as áreasdono
A troca
setor.
Brasil e de
em informações
Todavia,outros são países. noNo
promovidas exterior
entanto, é realizada
trocas de
toda a diretamente
informações
troca de com entre asocorre
empresas
informações empresas
parceiras,
somentedocomgrupo por
vistas
entre asà meio de representantes
mitigação
empresas de
do riscos
grupo. em
passíveis
•cadaestrutura que de se comunicação
País,enfrentados. reúnem em caso insuficiente para compartilhamento
de vulnerabilidades identificadas entre
para empresas
definir de forma
as ações segura;
nos casos necessários.
de serem
•Entrepossibilidade Nesse contexto, o Grupo CPFL Energia entende que poderia ser criado um fórum dos Chief
Trocas ode
Information Grupo EDPde
Security
informações
vazamento
Brasil
Officere sua
podem
de informações
matriz
– CISOs,
levar a em
com
uma Portugal
vistas
maior
privadas
a trocado
à difusão
promoção
ededeinformações
estratégias éem
dosedebate
conhecimento sobre
segurança
direta entre as
as otendências
sobre ameaças
para público
áreas
no âmbito
cibernéticas
externo; eda
de Segurança
da segurança
(que estão sempre
Considerando
Não se aplica
Informação. a manifestação ao questionamento 08, em que manifesta que regulamento deve contemplar apenas a
cibernética.
evoluindo)
OT, além
o Grupo global de
Energisa proporcionar fóruns para a avaliação de soluções tecnológicas adotadas. No entanto, quando o mas
O programa deentende que nãododeve
cibersegurança grupo haver
ENEL obrigação
adotou um de compartilhamento
modelo de colaboração de informação
para trocaentre empresas,
de informações sobre
compartilhamento
que poderia
incidentes de ser não
feito
segurança deéforma
realizado
entre as de forma
voluntária estruturada,
e entidades
cooperativa sepodem ocorrer
as empresas diversos
assim tipos
desejarem. dede problemas, comoe mal-
Além
Tal disso,poderia
fórum
entendidos, existe
exposição também
ser estendido
indevidaa troca aprincipais
das de informações
fornecedores,
partes osentre
envolvidas,
internacionais
quais apoderiam
matriz
exposição de
do CERT
emcompartilhar
Portugal (Centro
e oos
vulnerabilidades Centro Estudos,
desafios
não de Estudos
corrigidas
Resposta
para
e as atualizações
em
Tratamento
Resposta
infraestruturas e
tecnológicas
de
que Incidentes,
Tratamento
devem de
ser inclusive
Incidentes
realizadas com em
no Brasil
ambiente,junto
Computadores ao
bem CERT.br.
(CERT)
como a de Portugal,
empresas de trata-se de um
telecomunicações, serviçoas integrante
quais que
poderiam coordena
contribuir anas
críticas,
Esse dentre
modelo outros.troca de informações entre entidades CERT de cada país em caso de ataques cibernéticos. Este
permite
resposta
discussões a incidentes
evidenciando envolvendo
possibilidadesentidades do Estado,
de mitigação deoperadores
ataques, bem de como
serviços essenciais, operadores
apresentando as soluções de Infraestruturas
já implantadas no
modelo
Críticas também
nacionais prevê
e trocas
prestadores
Sistema Brasileiro de Telecomunicações. comde outras
serviços entidades
digitais). afiliadas
O grande como:
ponto empresas,
positivo é universidades,
a sinergia e provedores
rapidez nas de serviço
trocas de de
internet,
informações. etc.
Adicionalmente,
A Amazonas Energia temos nãoa pratica
manutenção troca de informações
estatísticas públicas
nem dentro dos incidentes
nem fora do tratados e das reclamações
Brasil sobre o assunto citado. de spam
recebidas.
Não existe uma formalidade de troca de informações de ataques cibernéticos entre as empresas, porque geralmente são
informações sigilosas e muitas empresas não divulgam detalhes porque podem comprometer a imagem e segurança da
Fazemos
empresa.troca de informações com empresas do setor elétrico no Brasil e, fora do brasil, entre os seus sócios na Espanha e
Colômbia.
São
Ponto trocadas Não
positivo: há conhecimento
informações
A troca de entre
informaçõessobre algum
profissionais órgão
das
facilitaria centralizador.
aempresas
aplicação dodegrupo
açõesABRATE, mas hoje sem
mais direcionadas um processo
e imediatas documentado
de proteção de e
sem
dados,
O um órgão
elevando centralizador.
o grau de segurança.
grupo Brookfield Renewable tem presença global, onde as estratégias de cibersegurança das operações são
N/A.
Ponto negativo:pela
acompanhadas Seriaholding,
a exposição baseada das no vulnerabilidades
Canadá, que concentra e consequentemente
as informações a possibilidade
de controles,deriscos ataques mais direcionados
e incidentes e
Os
parapontos
cada positivos
tecnologia
apresenta aos controladores. são um
adotada aprendizado
pela empresa. sobre ameaças, vulnerabilidades e boas práticas em empresas que atuam no
mesmo segmento.
Os pontos negativos podem advir de um compartilhamento inapropriado de informação da empresa. Uma padronização
poderia mitigar esse ponto. Possíveis penalizações por parte do órgão regulatório, utilizando declarações das empresas.
implementação, encontros anuais, a fim de estar sempre alinhado com as atualidades.
do princípios e diretrizes. Pode ser exigido que as empresas adotem uma política de segurança cibernética contendo itens mínimos e u
ara a evolução tecnológica. Enxergo a segurança cibernética como um requisito necessário para a digitalização do setor elétrico e que
, incrementando recursos com vista a incetivar as concessões de forma simétrica, fazendo com que seja reconhecido os investimentos
ladores tratarem de soluções definidas e aplicáveis com soluções fixas. A regulação deve limitar-se aos objetivos de segurança ciberné
ões de dispositivos estão conectados através da Internet das Coisas (IoT) e a mesma tendência começa a se estabelecer no setor elétri
z mais curtos, sugere-se que existam revisitas periódicas à regulação para discutir se existem ou não bloqueios para o avanço tecnológ
licados, mas não que tecnologia ou solução deveria ser empregada. Assim, deixa-se espaço para a entrada de tecnologias que cumpra
de inovação no setor de energia elétrica: a cooperação entre instituições e a concorrência no mercado. A primeira preocupação decor
no mercado, já que a concorrência gera incentivos para que empresas criem soluções inovadoras. Como consequência, o serviço pode
nico dos agentes e que se vinculem ao conceito de uma abordagem orientativa, com critérios regulatórios mínimos preestabelecidos.
alternativas tecnológicas adequadas, nos parece válido que a ANEEL coordene um programa de P&D estratégico, uma vez que a reuniã
egulamentação, entendemos que será importante evitar que um eventual detalhamento técnico ou fixação de soluções tecnológicas e
cos cibernéticos
eitas, referenciadasflexíveis, enfatizar
nos demais a continuidade
frameworks, dos serviços
amplamente e alinhamento
discutidas no setor ecom padrões reconhecidos
tecnologicamente nacional e internacionalmen
agnósticas.
ticos
2020,flexível
podemcomo o aajustes
facilitar do NIST, que permite
e eventuais que o Regulador
adequações estabeleça a taxonomia e os resultados esperados deixando ao agente a o
regulatórias.
otarem
mo açõesmínimos,
requisitos e políticasdeixando
de segurança adequadas
a cargo do agenteasimplementar
suas especificidades.
soluções adicionais e / ou mais modernas.
ossa agilizar os investimentos em projetos voltados para a segurança cibernética, principalmente nos setores de geração e transmissã
ionalidades, sendo estas de caráter mais amplo que uma tecnologia específica e que possam ser implantadas por um ou mais sistemas
rio dar o disponíveis
recursos passo inicialtecnológicos
para melhorar o ambiente
e humanos queregulatório.
julgarem necessários, dentro da realidade de cada empresa.
processos burocráticos e novos custos atrelados a tais burocracias.
e “fins”, evitando amarras e reconhecendo a necessidade de adaptações flexíveis pelos próprios agentes ao longo dos estágios iniciais
relacionadas com a segurança cibernética devem ocorrer de forma muito rápida. O estabelecimento de alguma regulamentação não d
ador da evolução e não o contrário.
O compartilhamento
Qual de informações
a forma mais adequada poderia
de realizar ocorrer
a prática através deQuais
de comparti um canal criado
ações, para essa finalidade, sob a responsabilida
envolvendo
Há
Paraque se considerar
fazer que a divulgação
o compartilhamento de situações
de informações de risco
deveria pode
ter uma Aplafetar
ANEEL sobremaneira tanto
e ONS poderiam o valor de mercado
disponibilizar de umade
uma plataforma e
Visto
Cumpre destacar, também, que cada dia mais as redes dos agentes seque
A ANEEL quase sempre
interligam
poderia nas
atuar no escopo
subestações
como dedeinterconexão
sponsor ataques
da cibernético
escolha e criação
através
Na visão da LIGHT o normativo sobre a troca de informações devA ameaça de ataques cibernéticos é perpetrada por atores
Criação de uma plataforma de acesso público, por um órgão independente e isento, onde seria permitido aos agentes o co
As
As empresas devem
informações ser incentivadas
de alertas e incidentesa implantar
aos ativos programa de educação
do setor pod Inclusão de
e conscientização
dispositivo
ANEEL poderia, nos dos
em conjuntoatosprofissionais
comnormativos da
envolvidos
ANEEL
outras agências para
em
regulado
Seria um incentivo aos agentes haver um canal de compartilhamento Criação
onde
de uma
tais informações
plataforma de
nãoacesso
pudessem
público,
serpor
usadas
um órgã
com
O Grupo Enel considera que informações relacionadas a incidenPor tratar-se de um tema sensível, a prática de compartilh
Para preservar o anonimato e a privacidade, entendemos que o A Ac ANEEL
ANEEL ou o Operador
poderia Nacional pela:
ser responsável do Sistema - ONS poderi
• Criação e manutenção
A ANEEL poderia criar um Portal de Tecnologia da Informação Respondido na questão 14. da plataforma de compartilham
• Atuar na definição dos requisitos mínimos para forma
Criação
Através de
de uma plataforma
foruns de com
especificos, comunicação entre de
acesso restrito as empresas
interessa do
•Poderia
setor
Elaboração
elétricoum
prover de
quefórum
uma
permita
base odecompartilhamento
conhecimento
recorrente compartilh
dedeinfor
com os líderes cib
Formação de um squad de resposta à segurança baseado nos padrões • Definição
do CSIRTdederequisitos
segurançatécnicos/tecnológicos
definidos no framework
mínimo
do N
Uma padronização e um orgão centralizador podem mitigar o c Poderia indicar ou criar um orgão centralizador, a exemplo
Um canal seguro, com garantias privacidade. O compartilhamento
Prover o ambiente para ocorrer compartilhamento de info
O compartilhamento de informações deve ser realizado de forma
Acredito que o papel da ANEEL tem que ser o de facilitado
As empresas podem compartilhar seus dados com a ANEEL ou oNa
ONSminha opinião, a ANEEL deveria capitanear os esforços
workshops
mação anuaisde
de grupos com participação
discussão de fornecedores
com representantes e agentes
das focando
empresas, em casos
ou mesmo práticos,delições
a realização aprendidas
campanhas e dificuldades
via webnar enfrentadas
e palestras coma p
de auditorias nas plantas (após normatização)
planejamento financeiro envolvido em grandes modernizações
ssão do tema ainda é incipiente, sugerimos a realização de mais Workshops específicos sobre segurança cibernética do setor elétrico.
comunicação entre os agentes, se bem organizada, pode mostrar-se benéfica para a identificação e a prevenção de ataques cibernéti
tratamento e resposta a incidentes dentro do Setor Elétrico Brasileiro poderia ser criado, por um órgão independente, com a finalidad
gue na segunda contribuição devido a limite de caracteres.
eria auxiliar na definição e criação de um órgão centralizador para hospedar o serviço. Além disso, acreditamos fortemente que aqui te
speita a primeira, acreditamos que o reporte para o ONS deve ser realizado através de uma aplicação diferente do MISP, uma vez que
tem, caberia um estudo sobre a possibilidade do órgão Cert.br para centralizar as informações relacionadas ao compartilhamento de i
ue seria possível a criação de um sistema para compartilhamento de informações de ataques, tentativas de ataques ou vulnerabilidad
ssão do tema ainda é incipiente, sugerimos a realização de Workshops específicos sobre segurança cibernética do setor elétrico. Como
oeria criar umapresentada
a resposta
podem
grupo de trabalho
ser discutidas através
ou comitê
à pergunta
de fóruns
para
10, em quediscussões
nãode
ou comitês deve referentes
haver
segurança
à cibersegurança
obrigação com representantes
de compartilhamento
da informação fomentados pelade
designados
informação
ANEEL.
pelos agentes.
entre empresas, o Gru
ANEEL poderia disponibilizar uma ferramenta Web para upload estas informações, liberando acesso a todos os agentes. A confidencia
NEEL pode criar um comitê setorial para discutir temas de segurança da informação, algo semelhante ao que o foi feito na Rede de Inov
explicitado no item anterior, entende-se que a criação de um fórum restrito para troca de informações entre os agentes poderia subsi
po EDP entende que o papel da ANEEL seria o de atuar como agente facilitador, liderando a criação do comitê de colaboração e coope
de um tema sensível, a prática de compartilhamento de informações deve ser suportada por uma entidade isenta e especializada em
oeria
Operador Nacional pela:
ser responsável do Sistema - ONS poderia instituir em centro de tratamento de incidentes para atuar em conjunto com as empres
e manutenção
na questão 14. da plataforma de compartilhamento de informações para apoiar as empresas do setor elétrico;
definição dos requisitos mínimos para formação das equipes de monitoração e combate a incidentes;
ãoum
er de fórum
uma base de conhecimento
recorrente compartilhada
com os líderes de gestão
de cibersegurança deagentes,
dos eventos;onde a agência poderia divulgar suas ações e visão, além de es
o de requisitos técnicos/tecnológicos mínimos para dar suporte ao tema de cyber segurança.
ar ou criar um orgão centralizador, a exemplo do CERT.br e do CTIR.gov que são voltados hoje para o ambiente de internet, de forma q
biente para ocorrer compartilhamento de informações entre as empresas e ser o moderador, com participação ativa dos membros (as
o papel da ANEEL tem que ser o de facilitador desta conduta, propondo ações e indicando caminhos, fazendo os agentes enxergarem
nião, a ANEEL deveria capitanear os esforços que hoje são pulverizados entre várias instituições como ABRATE, ABRAGE, ABRADEE, RE
tos voltados para a área de segurança no setor, ou incluir fórum para este fim nos já existentes.
virtuais para tal propositvo.
Websites (https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp e https://vshow.on24.com/
Transparência na divulgação de vulnerabilidades encontradas em equipamentos Schneider juntamente com a forma de m
Websites (https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp e https://vshow.on24.com/
Não.
Transparência na divulgação de vulnerabilidades encontradas em equipamentos Schneider juntamente com a forma de m
Não.
eria solicitar apoio do CERT.br e do CTIR.gov, para criar um órgão com função de centralizar e compartilhar informações de incidentes
atório o compartilhamento de incidentes ocorridos. O incentivo seria a independência desse órgão em relação à regulação.
alidade e integridade da informação deve ser incluída em regulação.
nir a criação de uma estrutura de governança de segurança cibernética para o setor elétrico, que inclua por exemplo um comitê estraté
Entendemos que o trabalho de inteligência deve ser mantido de modo a incentivar a troca de informações entre empresas
que as empresas
Comoenvolvidas na cadeia
ponto positivo, de fornecimento
a constante de energia elétrica
troca de informações prestem
possibilitará contas a respeito
a adequada respostadas medidascibernéticas,
as ameaças de segurançacolabo
cibern
da seriedade com a qual eventual troca de informações deva ser conduzida, a comunicação entre os agentes, se bem organizada, pod
fato, uma tensão entre a confiança das empresas em divulgar informações confidenciais sobre suas práticas de cibersegurança e a ne
eria reconhecer como investimento, e ressarcir os gastos com a capacitação de pessoal na área de segurança cibernética. Estes gastos
m permanente
um para trocaonde
ambiente tecnológico de experiências, informaçõespossa
esse compartilhamento e práticas de segurança
ser feito de forma cibernética
padronizada,das empresas
segura incluindo ocomo
e colaborativa, exercício de resp
por exempl
de seminários e eventos para conscientização e divulgação do tema no setor também é um exemplo de ação que pode ser desenvolvid
m projeto, com a participação do setor, para criar um Centro de Monitoração Cibernética do Setor Elétrico Brasileiro.
eria solicitar apoio do CERT.br e do CTIR.gov, para criar um órgão com a função de centralizar e compartilhar informações de incidente
oderia coordenar um fórum permanente para troca de experiências, informações e práticas de segurança cibernética, incluindo o exer
mpartilhado.
eria ser o órgão coletor de informações e disseminador de experiências, em conjunto com as entidades representativas dos agentes.
raestruturas críticas)? Quais os pontos positivos decorrentes da troca de informações? Existem pontos negativos?
rtilhamento de informações sobre incidentes em segurança cibernética, além de contribuições para adoção de novas políticas de segu
buição,remuneração
entual utilização deque
ferramentas e membros
seja devida a referidode vários
ente, países,
pela funçãoa Light entende
de gestor queinformações.
dessas além da criação de sistema nacional para troca de
ção a esta ameaça também tem que ser organizada não apenas nacionalmente mais em cooperação em contexto global.
lrecebimento
mínimo da rubrica do Programa dedeP&D
e compartilhamento no desenvolvimento
informações de projetos(CERT
de ataque cibernético relacionados
– centroàde
segurança cibernética,
estudo, resposta uma vez que
e tratamento os novo
de incident
artilhamento de informações sobre incidentes em segurança cibernética, além de contribuições para adoção de novas políticas de seg
daswebnar
via e dificuldades enfrentadas
e palestras coma participação de especialistas. Algumas ações neste sentido já tem sido feitas por alguns especialistas cons
cibernética do setor elétrico. Como resultado, a Aneel poderia produzir um documento de caráter informativo com os principais conc
evenção de ataques cibernéticos no setor. Considerando que qualquer regulamentação se limite à rede operacional dos agentes, e da
independente, com a finalidade de concentrar e compartilhar de forma segura as informações de incidentes de segurança, assim como
itamos fortemente que aqui temos dois assuntos: um relacionado ao reporte de incidentes, o qual é exigido pela proposta do procedim
ferente do MISP, uma vez que o objetivo do MISP é compartilhar informações e não reportar informações sensíveis, como por exempl
das ao compartilhamento de informações sobre vulnerabilidades e, até mesmo, validar as soluções adotadas por cada agente para cor
de ataques ou vulnerabilidades e ameaças detectadas pelas empresas, bem como de ações executadas para mitigar e/ou corrigir o pr
rnética do setor elétrico. Como resultado, a ANEEL poderia produzir um documento de caráter informativo com os principais conceitos
tes designados
rmação pelos agentes.
entre empresas, Informações
o Grupo referentes
Energisa entende queà não
ataques
cabecibernéticos
nenhuma açãoocorridos no Entretanto,
à ANEEL. setor que fossem encaminhadas
de forma à Agência
voluntária as empresa
L.
odos os agentes. A confidencialidade do agente deve ser mantida.
que o foi feito na Rede de Inovação no Setor Elétrico (RISE) da ANEEL, onde foram convidados representantes das empresas do setor e
ntre os agentes poderia subsidiar a cooperação de compartilhamento de informações entre os agentes.
omitê de colaboração e cooperação.
ade isenta e especializada em segurança cibernética, em nível nacional. Esta entidade poderia estabelecer acordos formais de colabora
r em conjunto com as empresas em caso de ataque cibernético e, inclusive com as demais transmissoras com operação integrada e po
suas ações e visão, além de escutar dos representantes os seus desafios e pensamentos sobre a segurança do sistema elétrico naciona
biente de internet, de forma que as empresas possam compartilhar informações de forma segura, preservando o anonimato.
pação ativa dos membros (as perguntas e reportes podem ser de forma anônima, mas as respostas são obrigatoriamente nominal).
zendo os agentes enxergarem que todos sairão ganhando. A imposição de obrigatoriedade de compartilhamento de informações tem
BRATE, ABRAGE, ABRADEE, RENASIC, UTC, ONS, CIGRÉ, CD-CIBER, EB, dentre outros, em sua relevância para o setor elétrico. Vejo e pa
p e https://vshow.on24.com/vshow/SchneiderCyberVA/#home).
untamente com a forma de mitigar/corrigir. A Academia Virtual de Cibersegurança da Schneider Electric é um portal que fornece conte
p e https://vshow.on24.com/vshow/SchneiderCyberVA/#home).
untamente com a forma de mitigar/corrigir. A Academia Virtual de Cibersegurança da Schneider Electric é um portal que fornece conte
har informações de incidentes de segurança cibernética no setor.
lação à regulação.
or exemplo um comitê estratégico e consultivo, com câmeras temáticas para as áreas de operação de sistema, geração distribuída, su
e informações entre empresas do grupo, bem como entre empresas de diferentes setores, principalmente no setor elétrico. Nesse sen
sameaças
medidascibernéticas,
de segurançacolaboração
cibernética na
tomadas para evitar
identificação danos eactors,
nos threat ataques à infraestrutura.
identificação No entanto,
e mitigação não se nega também que há um
de riscos.
entes, se bem organizada, pode mostrar-se benéfica para a identificação e a prevenção de ataques cibernéticos no setor. Seguindo a n
ticas de cibersegurança e a necessidade de accountability dessas práticas por parte do poder público. Porém, há também mecanismos
ança cibernética. Estes gastos poderiam ser com treinamentos formais e participação em seminários e conferências onde fosse enfoca
as incluindo ocomo
olaborativa, exercício de resposta
por exemplo a ataques.
o MISP, é uma Nesse fórum
ação que seriam
pode incentivados os trabalhos sobre a influência da segurança cibernéti
ser criada.
ação que pode ser desenvolvida, podendo, inclusive, permitir a antecipação de ajustes regulatórios que se façam necessários.
o Brasileiro.
lhar informações de incidentes de segurança cibernética no setor, tornando obrigatório o compartilhamento de incidentes ocorridos.
a cibernética, incluindo o exercício de resposta a ataques para as empresas do setor, como, por exemplo: GridEx – NERC's Grid Security
m contexto global.
bernética,
sposta uma vez que
e tratamento os novos sistemas
de incidentes e equipamentos
de segurança), a exemploagregam maior
do CERT.br, vulnerabilidade
focado e exclusivode software
para e hardware,
os setores críticos. trazendo riscos de
adoção de novas políticas de segurança, incluindo a opção de manter dados sigilosos com o intuito de garantir a privacidade do declara
tas por alguns especialistas considerando discussões técnicas e não propagandas das empresas.
ormativo com os principais conceitos, riscos, ameaças, medidas de proteção e boas práticas internacionais para ampla divulgação e or
de operacional dos agentes, e dado o alto nível técnico do tema, entendemos que será relevante a participação do ONS na coordenaçã
dentes de segurança, assim como as soluções adotadas e coordenar a resposta a incidentes mais graves que afetem a estabilidade do S
xigido pela proposta do procedimento de rede, e outro relacionado ao compartilhamento de vulnerabilidades e soluções adotadas.
ões sensíveis, como por exemplo um ataque sofrido.
otadas por cada agente para correção das fragilidades identificadas pelo agente que reportou.
as para mitigar e/ou corrigir o problema, onde as empresas pudessem escolher se identificar ou não. Também poderia ser criado um fó
ativo com os principais conceitos, riscos, ameaças, medidas de proteção e boas práticas internacionais para ampla divulgação e orienta
ossem encaminhadas
de forma à Agência
voluntária as Reguladora
empresas de formaprocessos
poderão organizar anônima pelos agentes seriam difundidas
de compartilhamento de alertaseediscutidas
ameaças. de forma colaborativa ent
ntantes das empresas do setor elétrico, da indústria e de institutos de pesquisa e universidades, para promover ambientes de inovaçã
cer acordos formais de colaboração com entidades já existentes para este fim como o Cert.Br, que reúne também informações de inci
ras com operação integrada e posterior a isso, divulgar os os indicadores de comprometimento sem a identificação da empresa, para q
servando o anonimato.
o obrigatoriamente nominal).
tilhamento de informações tem grandes chances de tornar o procedimento ineficaz. O agente tem que sentir que terá benefícios com
a para o setor elétrico. Vejo e participo de alguns dos grupos de trabalho acima e vejo muitos trabalhos repetidos. O Brasil precisa ter u
ic é um portal que fornece conteúdo educacional de cibersegurança e é uma plataforma para interação contínua por meio de webinar
ic é um portal que fornece conteúdo educacional de cibersegurança e é uma plataforma para interação contínua por meio de webinar
sistema, geração distribuída, subestações, usinas, etc.,para interfacear com outras áreas de infraestruturas críticas nacionais, e uma p
ente no setor elétrico. Nesse sentido, disponibilizamos times dedicados ao trabalho de threat intelligence com foco tanto em TI, quant
, não se nega também que há um conflito entre a divulgação dessas informações e a própria segurança dos sistemas, já que indivíduos
cos.
ernéticos no setor. Seguindo a nossa recomendação de que qualquer regulamentação se limite à rede operacional dos agentes, e dado
Porém, há também mecanismos institucionais capazes de gerar esse tipo de confiança e de que equilibrar a necessidade de transparên
conferências onde fosse enfocado o compartilhamento de informações das empresas sobre o tema segurança cibernética.
nfluência da segurança cibernética no negócio das empresas de energia, como criar métricas de qualidade da segurança cibernética ba
e se façam necessários.
etores
e hardware,
críticos. trazendo riscos de ataques cibernéticos bem sucedidos.
garantir a privacidade do declarante. O compartilhamento de informações deve ser incentivado, e a adoção dos procedimentos mínim
ambém poderia ser criado um fórum permanente para troca de experiências, informações e práticas de segurança cibernética incluind
para ampla divulgação e orientação às empresas.
utidas de forma colaborativa entre os especialistas participantes deste grupo de trabalho. Discussões e conclusões obtidas neste fórum
promover ambientes de inovação propícios a criação de produtos tecnológicos com inserção no mercado.
úne também informações de incidentes de outras empresas de outros setores, mas que podem indicar novas ameaças e vulnerabilidad
identificação da empresa, para que as demais empresas do setor possam tomar medidas preventivas. A promoção de fóruns de boas p
o contínua por meio de webinars ao vivo, bate-papos com especialistas, documentação, vídeos e perguntas e respostas contínuas.
o contínua por meio de webinars ao vivo, bate-papos com especialistas, documentação, vídeos e perguntas e respostas contínuas.
turas críticas nacionais, e uma plataforma de gestão e compartilhamento entre os agentes (MISP) para lidar com os incidentes, como
nce com foco tanto em TI, quanto com foco em TO, comtemplando os setores industrial e elétrico.
a dos sistemas, já que indivíduos ou grupos mal intencionados poderiam se utilizar dessas mesmas informações estratégicas para coor
operacional dos agentes, e dado o alto nível técnico do tema, entendemos que será relevante a participação do ONS na coordenação
brar a necessidade de transparência com a segurança das informações. Uma alternativa viável seria a criação de um comitê ou conselh
egurança cibernética.
doção dos procedimentos mínimos de segurança (definidos por regulamento) por parte dos agentes deve ser fiscalizada periodicamen
nça do SIN.
de segurança cibernética incluindo o exercício de resposta a ataques para as empresas do setor. Exemplos: GridEx – NERC's Grid Securi
conclusões obtidas neste fórum poderiam até a vir basear as futuras normas aplicadas ao setor e também poderiam contribuir para a
ntes, assim teremos todos o mesmo rumo e teremos um trabalho mais robusto e com menos concorrência.
plos: GridEx – NERC's Grid Security Exercise (GridEx) e Exercício Guardião Cibernético, coordenado pelo Comando de Defesa Cibernétic
dencialidade, ao qual as empresas deveriam responder. A quantidade reduzida de pessoas e a confidencialidade até certo ponto pode
o Comando de Defesa Cibernética.
ncialidade até certo ponto pode gerar maiores incentivos à abertura controlada de suas informações.
Tipo de Agente O grupo tem presença intePolíticas e práticas de segu
Agente prestador de s #REF! Não 16
Outros #REF! Sim 14 Normas, padrões e certifica
Fornecedor de Tecnol #REF! Sem resposta 0 Práticas internas
Operador #REF!
Associação #REF!
#REF!
Tipo de Agente
Internamente Err:504
Sem resposta Err:504
Entre empresas Err:504
Centralizada Err:504
Centralizada #REF!
Sem resposta #REF!
Entre empresas #REF!
11
Err:504 Não 5
Err:504 Sim 9
Presença Internacional
Não 16
Sem respos 16
Sim 14 Normas, pa 12
Não 5 Práticas in 2
Sim 9
ntre empreendimentos
ntralizada Sem resposta Entre empresas
11